DPI技术简介
匹配模式
根據規則的特點,可以分為兩種
特征字符串模式:特征字符串模式實現方法簡單,將流量的特征字符串提取出來即可進行流識別,不過此種方式描述性較差,需要將流量特征進行遍歷,才可以將流量全部識別出來,通常使用“正則表達式”來概括性描述,正則表達式將可能出現的形式進行囊括遍歷,此種方式有較強的描述能力,但是識別性能較差,對設備的性能消耗很大。
特定比特流模式:主要是對應用層載荷信息及數據流信息進行識別,此類信息是以十六進制或者二進制形式描述應用層的信息,規則描述性較差,但匹配效率很高。
DPI主要檢測的幾個層面
基于三、四層信息識別 : 三、四層信息主要是IP地址和PORT信息,將數據包的IP地址與業務服務 器IP地址進行匹配,若匹配到,則可確定其業務類型及名稱,常用業務口地址 需長期收集和動態更新。根據公知端口來區分具體的業務,如服務器端口為80 為HTTP業務,端口號為21即為FTP業務,110即為郵件業務等。
基于單包DPI : 單個數據包可以解析到七層信息,通過報文中的關鍵字符串識別業務,如多 數APP利用HTTP承載報文HOST、URI字段的信息;報文中還有一類重要的 指紋信息,如微信載荷中的0x00100001相對固定,可以作為微信應用的特征來 匹配。
基于多包DPI : 多包DPI即根據同一個數據流匯總多個數據包的關聯規律識別[19]。挖掘多 個數據包的七層信息并進行關聯識別,通常和單包DPI方式聯合識別,如連接建立后連續發3個載荷為100字節的包,或3個包的第一個字節分別為01、02、003,此類規則信息可以作為整個流的特征。
基于DFI:
DFI是根據多個數據流的統計特征和連接行為識別的,統計特征是分析數據流參數,如包長度分布、包達到間隔、流大小、流連續時間、流空閑時間、信令包與數據包的比例掣;連接行為包含分析通信模式,如所使用的協議個數,
連接的主機數目,連接的端口數等。
DPI主要功能
業務識別: 業務識別是DPI最基本、最重要的功能,即能夠在網絡流量中準確辨別出所承載的業務類型。業務識別主要分為對運營商開通的合法業務和運營商需要進行監管的業務進行識別。其中第一類業務可以通過五元組來進行識別,此類業務IP地址和端口固定。第二種需要通過DPI技術來進行深度檢測,通過解析數據包來確定業務具體內容和信息。
業務控制:通過深度包檢測將業務識別出來之后,可以根據既定的策略對網絡進行配置,從而對業務流實現控制,主要包括轉發流向、限制帶寬、阻斷、整形、丟棄 等處理。
業務統計 深度包檢測技術的業務統計功能是基于識別結果的,對一定時間內的流量行 為進行統計,如流量流向、業務占比、訪問網站TOPN等。統計應用類型的使 用比率調整該業務的服務優先級,統計用戶正在使用哪種業務進行視頻播放、即 時通訊、購物支付以及游戲娛樂,也可以統計出消耗網絡帶寬的非法P2P、VOIP 業務等等。
DPI接入方式
串接方式: 直接將DPI設備以串接的方式部署在網絡鏈路之間。串接方式以直連的形 式接入,不需要進行網絡連接配置,直接通過數據鏈路層二層透傳,串接方式對 設備性能和可靠性都有很高的要求。串接方式的優點在于較好的網絡控制, 能夠及時對流量進行阻斷和整形。但是該種方式也引入了故障點的缺陷,為增強 設備的可靠性,通常在設備前段加入光路保護器,從而減小在設備升級或故障時對現網的影響。
并接方式 : 并接方式是采用分光器等設備將網間的信號鏡像到旁路的DPI設備當中, 并不影響原鏈路的數據傳輸。采用并接方式,通常用于業務的識別和統計,上網 日志的留存等,在網絡控制方面,只能通過干擾的方式進行流量控制,不能對網 絡流量進行直接的控制和管理。同時,并接方式對TCP和UDP采用不同的控制策略。對于TCP流,并接方式通過發送reset或6n分組,終止連接來進行控 制。而對于UDP流而言,主要是發送偽造分組,劣化通信質量來進行網絡干擾。 并接方式可靠性高,對現網業務無任何影響,設備性能要求低,可以適度緩存流 量進行識別即可,沒有轉發的需求。
DPI存在問題
網絡建設是一個龐大而復雜的系統工程,在部署網絡時,首先考慮的是業務的實現方案,而網絡可視化方案被置后處理甚至不處理。等到有可視化的需求之后,再加裝分光設備,這導致每次增加網絡可視化設備都需要對現有網絡進行改造,對業務和運維人員都是巨大的挑戰。
網絡管理、應用管理、安全管理、業務平臺等不同職能部門各自有不同的功能需求,各自規劃自己的網絡可視化方案,在同一條鏈路上,可能會部署多次,重復建設。
應用分析僅需要提取特定的流量,而分光器不加區分,將所有流量全部復制給DPI設備,增加DPI設備壓力,效率低下。雖然部署前置機之后對流量進行了選擇性過濾,但是前置機的過濾規則是靜態的,不能自動化調整,且一臺前置機只能服務一種特定業務,造成資源的浪費。
在網絡建設前期,沒有對網絡可視化和應用可視化給予足夠的重視,等有需求之后,再通過在網絡節點上打補丁,解決架構上的問題,這種解決方案,存在眾多通用性和兼容性等問題,實現效率低下。
目前的DPI設備形式無法適應“大數據”“云計算”等新技術所提出的虛擬化的要求,無法適應網絡云化的趨勢。
參考文獻《基于SDN深度包檢測技術研究》--姚龍
總結
- 上一篇: wap2app(五)-- 微信授权登录以
- 下一篇: 肠胃炎能不能吃菠萝